ASimProcessEventLogs
Microsoft Sentinel 进程事件规范化表使用与创建或终止进程关联的进程事件 ASIM 规范化架构存储事件。 此类事件由操作系统和安全系统报告,例如 EDR(终结点检测和响应)系统。
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.securityinsights/processeventnormalized |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | - |
列
列 | 类型 | 说明 |
---|---|---|
ActingProcessCommandLine | 字符串 | 用于运行操作进程的命令行。 |
“ActingProcessCreationTime” | datetime | 操作进程的开始日期和时间。 |
“ActingProcessFileCompany” | 字符串 | 创建了操作进程映像文件的公司。 |
“ActingProcessFileDescription” | 字符串 | 嵌入在操作进程映像文件的版本信息中的说明。 |
“ActingProcessFileInternalName” | 字符串 | 操作进程映像文件的版本信息中的产品内部文件名。 |
ActingProcessFilename | 字符串 | 操作进程映像文件的版本信息中的产品名称。 |
“ActingProcessFileOriginalName” | 字符串 | 操作进程映像文件的版本信息中的产品原始文件名。 |
“ActingProcessFileProduct” | 字符串 | 操作进程映像文件中的版本信息中的产品名称。 |
“ActingProcessFileSize” | long | 运行操作进程的文件的大小(以字节为单位)。 |
“ActingProcessFileVersion” | 字符串 | 操作进程映像文件的版本信息中的产品版本。 |
“ActingProcessGuid” | 字符串 | 操作进程的 GUID。 |
ActingProcessId | 字符串 | 操作进程的进程 ID。 |
“ActingProcessIMPHASH” | 字符串 | 操作进程使用的所有库 DLL 的导入哈希。 |
“ActingProcessInjectedAddress” | 字符串 | 在其中存储负责的操作进程的内存地址。 |
“ActingProcessIntegrityLevel” | 字符串 | 操作过程的完整性级别。 |
“ActingProcessIsHidden” | bool | 指示操作进程是否处于隐藏模式。 |
“ActingProcessMD5” | 字符串 | 操作进程映像文件的 MD5 哈希。 |
ActingProcessName | string | 操作进程的名称。 |
“ActingProcessSHA1” | 字符串 | 操作进程映像文件的 SHA-1 哈希。 |
“ActingProcessSHA256” | 字符串 | 操作进程映像文件的 SHA-256 哈希。 |
“ActingProcessSHA512” | 字符串 | 操作进程映像文件的 SHA-512 哈希。 |
“ActingProcessTokenElevation” | 字符串 | 指示是否存在应用于操作进程的用户访问控制 (UAC) 特权提升的令牌。 |
ActorOriginalUserType | 字符串 | 报告设备报告的用户类型。 |
ActorScope | 字符串 | 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
ActorScopeId | 字符串 | 定义 ActorUserId 和 ActorUsername 的范围 ID,例如 Azure AD 租户 ID。 |
ActorSessionId | 字符串 | 参与者登录会话的唯一 ID。 |
ActorUserId | 字符串 | 执行组件的计算机可读字母数字唯一表示形式。 |
ActorUserIdType | 字符串 | ActorUserId 字段中存储的 ID 的类型。 |
ActorUsername | 字符串 | 参与者的用户名,包括域信息(如果可用)。 |
ActorUsernameType | 字符串 | ActionUsername 字段中指定的执行组件用户名的类型 |
ActorUserType | 字符串 | 参与者的类型。 |
AdditionalFields | dynamic | 其他信息,使用源提供的不映射到 ASim 的键和值对表示。 |
_BilledSize | real | 记录大小(以字节为单位) |
DvcAction | 字符串 | 对于报告安全系统,是系统执行的操作。 |
DvcDescription | 字符串 | 与设备关联的描述性文本。 |
DvcDomain | 字符串 | 报告事件的设备的域。 |
DvcDomainType | 字符串 | DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
DvcFQDN | 字符串 | 发生事件或报告事件的设备的主机名。 |
DvcHostname | 字符串 | 报告事件的设备的主机名。 |
“DvcId” | 字符串 | 发生事件或报告事件的设备的唯一 ID。 |
DvcIdType | 字符串 | DvcId 的类型。 |
DvcInterface | 字符串 | 捕获数据的网络接口。 |
DvcIpAddr | 字符串 | 报告事件的设备的 IP 地址。 |
DvcMacAddr | 字符串 | 发生了事件或报告了事件的设备的 MAC 地址。 |
DvcOriginalAction | 字符串 | 报告设备提供的原始 DvcAction。 |
DvcOs | 字符串 | 发生了事件或报告了事件的设备上运行的操作系统。 |
DvcOsVersion | 字符串 | 发生了事件或报告了事件的设备上的操作系统版本。 |
DvcScope | 字符串 | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcScopeId | 字符串 | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcZone | 字符串 | 发生事件或报告事件的网络。 |
EventCount | int | 记录描述的事件数。 |
EventEndTime | datetime | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventMessage | 字符串 | 常规消息或说明。 |
EventOriginalResultDetails | 字符串 | 源提供的原始结果详细信息。 |
EventOriginalSeverity | 字符串 | 报告设备提供的原始严重性。 |
EventOriginalSubType | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 |
“EventOriginalType” | 字符串 | 原始事件类型或 ID(如果已由源提供)。 |
EventOriginalUid | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 |
EventOwner | 字符串 | 事件的所有者,通常是生成事件的部门或子公司。 |
EventProduct | 字符串 | 生成事件的产品。 |
EventProductVersion | 字符串 | 生成事件的产品的版本。 |
EventReportUrl | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
EventResult | 字符串 | 事件的结果,由以下值之一表示:成功、部分、失败、NA (不适用) 。 该值可能不会由源直接提供,在这种情况下,该值派生自其他事件字段,例如 EventResultDetails 字段。 |
EventResultDetails | 字符串 | EventResult 字段中报告的结果的原因或详细信息。 |
EventSchemaVersion | 字符串 | 架构的版本。 |
EventSeverity | 字符串 | 事件的严重性。 有效值为:信息性、低、中或高。 |
EventStartTime | datetime | 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventSubType | 字符串 | 描述 EventType 字段中报告的操作的细分。 |
EventType | 字符串 | 描述记录报告的操作 |
EventVendor | 字符串 | 生成事件的产品的供应商。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
“ParentProcessCreationTime” | datetime | 父进程的开始日期和时间。 |
“ParentProcessFileCompany” | 字符串 | 创建父进程映像文件的公司。 |
“ParentProcessFileDescription” | 字符串 | 父进程映像文件的版本信息中的说明。 |
“ParentProcessFileProduct” | 字符串 | 父进程映像文件中的版本信息中的产品名称。 |
“ParentProcessFileVersion” | 字符串 | 父进程映像文件的版本信息中的产品版本。 |
“ParentProcessGuid” | 字符串 | 父进程的 GUID。 |
“ParentProcessId” | 字符串 | 父进程的进程 ID。 |
“ParentProcessIMPHASH” | 字符串 | 父进程使用的所有库 DLL 的导入哈希。 |
“ParentProcessInjectedAddress” | 字符串 | 在其中存储负责的父进程的内存地址。 |
“ParentProcessIntegrityLevel” | 字符串 | 父进程的完整性级别。 |
“ParentProcessIsHidden” | bool | 指示父进程是否处于隐藏模式。 |
“ParentProcessMD5” | 字符串 | 父进程映像文件的 MD5 哈希。 |
“ParentProcessName” | string | 父进程的名称。 |
“ParentProcessSHA1” | 字符串 | 父进程映像文件的 SHA-1 哈希。 |
“ParentProcessSHA256” | 字符串 | 父进程映像文件的 SHA-256 哈希。 |
“ParentProcessSHA512” | 字符串 | 父进程映像文件的 SHA-512 哈希。 |
“ParentProcessTokenElevation” | 字符串 | 指示是否存在应用于父进程的用户访问控制 (UAC) 特权提升的令牌。 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
RuleName | 字符串 | 与检查结果关联的规则的名称或 ID。 |
RuleNumber | int | 与检查结果关联的规则的数量。 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
TargetOriginalUserType | 字符串 | 报告设备报告的用户类型。 |
TargetProcessCommandLine | 字符串 | 用于运行目标进程的命令行。 |
“TargetProcessCreationTime” | datetime | 启动目标进程的日期和时间。 |
TargetProcessCurrentDirectory | 字符串 | 在其中执行目标进程的当前目录。 |
“TargetProcessFileCompany” | 字符串 | 创建目标进程映像文件的公司。 |
“TargetProcessFileDescription” | 字符串 | 目标进程映像文件的版本信息中的说明。 |
“TargetProcessFileInternalName” | 字符串 | 目标进程映像文件的版本信息中的产品内部文件名。 |
TargetProcessFilename | 字符串 | 目标进程映像文件的版本信息中的产品名称。 |
“TargetProcessFileOriginalName” | 字符串 | 目标进程映像文件的版本信息中的产品原始文件名。 |
“TargetProcessFileProduct” | 字符串 | 目标进程映像文件中的版本信息中的产品名称。 |
“TargetProcessFileSize” | long | 运行负责事件的进程的文件的大小(以字节为单位)。 |
“TargetProcessFileVersion” | 字符串 | 目标进程映像文件的版本信息中的产品版本。 |
“TargetProcessGuid” | 字符串 | 目标进程的 GUID。 |
“TargetProcessId” | 字符串 | 目标进程的进程 ID。 |
“TargetProcessIMPHASH” | 字符串 | 目标进程使用的所有库 DLL 的导入哈希。 |
“TargetProcessInjectedAddress” | 字符串 | 在其中存储负责的目标进程的内存地址。 |
“TargetProcessIntegrityLevel” | 字符串 | 目标进程的完整性级别。 |
“TargetProcessIsHidden” | bool | 指示目标进程是否处于隐藏模式。 |
“TargetProcessMD5” | 字符串 | 目标进程映像文件的 MD5 哈希。 |
“TargetProcessName” | 字符串 | 目标进程的名称。 |
“TargetProcessSHA1” | 字符串 | 目标进程映像文件的 SHA-1 哈希。 |
“TargetProcessSHA256” | 字符串 | 目标进程映像文件的 SHA-256 哈希。 |
TargetProcessSHA512 | 字符串 | 目标进程映像文件的 SHA-512 哈希。 |
TargetProcessStatusCode | 字符串 | 目标进程在终止时返回的退出代码。 |
“TargetProcessTokenElevation” | 字符串 | 一个标记,指示是否存在用户访问控制 (UAC) 应用于目标进程的特权提升。 |
TargetScope | 字符串 | 定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。 |
TargetScopeId | 字符串 | 定义 TargetUserId 和 TargetUsername 的范围 ID,例如 Azure AD 租户 ID。 |
TargetUserId | 字符串 | 执行组件的计算机可读字母数字唯一表示形式。 |
TargetUserIdType | 字符串 | TargetUserId 字段中存储的 ID 的类型。 |
TargetUsername | 字符串 | 目标执行组件的用户名,包括域信息(如果可用)。 |
TargetUsernameType | 字符串 | TargetUsername 字段中指定的目标执行组件用户名的类型 |
TargetUserSessionGuid | 字符串 | 目标执行组件登录会话的唯一 guid。 |
“TargetUserSessionId” | 字符串 | 目标执行组件的登录会话的唯一 ID。 |
TargetUserType | 字符串 | Target 执行组件的类型。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
ThreatCategory | 字符串 | 在活动中标识的威胁或恶意软件的类别。 |
ThreatConfidence | int | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
ThreatField | 字符串 | 已识别出威胁的字段。 |
ThreatFirstReportedTime | datetime | IP 地址或域首次被识别为威胁的时间。 |
ThreatId | 字符串 | 活动中标识的威胁或恶意软件的 ID。 |
ThreatIsActive | bool | 已识别威胁被视为活动威胁的真实 ID。 |
ThreatLastReportedTime | datetime | 上次将 IP 地址或域识别为威胁的时间。 |
ThreatName | 字符串 | 活动中标识的威胁或恶意软件的名称。 |
ThreatOriginalConfidence | 字符串 | 报告设备报告的已识别威胁的原始可信度。 |
ThreatOriginalRiskLevel | 字符串 | 报告设备报告的风险级别。 |
ThreatRiskLevel | int | 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
TimeGenerated | datetime | 时间戳 (UTC) 反映生成事件的时间。 |
类型 | 字符串 | 表的名称 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈